Delen via

Registreren en aanmelden met een PingOne-account instellen met behulp van Azure Active Directory B2C

  • Artikel

Voordat u begint, gebruikt u de selector Een beleidstype kiezen om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Vereisten

Een PingOne-toepassing maken

Als u aanmelding wilt inschakelen voor gebruikers met een PingOne-account (Ping Identity) in Azure Active Directory B2C (Azure AD B2C), moet u een toepassing maken in de Ping Identity Beheer istrator-console. Zie Een OIDC-toepassing toevoegen of bijwerken in de ping-identiteitsdocumentatie voor meer informatie. Als u nog geen PingOne-account hebt, kunt u zich aanmelden op https://admin.pingone.com/web-portal/register.

  1. Meld u aan bij de Ping Identity Beheer istrator Console met uw PingOne-accountreferenties.
  2. Selecteer in het linkermenu van de pagina Verbinding maken ions en selecteer +vervolgens naast Toepassingen.
  3. Selecteer op de pagina Nieuwe toepassing de optie Web-app en selecteer vervolgens onder OIDC configureren.
  4. Voer een toepassingsnaam in en selecteer Volgende.
  5. Voer voor de omleidings-URL's het volgende in https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Als u een aangepast domein gebruikt, voert u https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp in. Vervang your-domain-name door uw aangepaste domein en your-tenant-name door de naam van uw tenant. Gebruik alle kleine letters bij het invoeren van uw tenantnaam, zelfs als de tenant is gedefinieerd met hoofdletters in Azure AD B2C.
  6. Selecteer Opslaan en doorgaan.
  7. Selecteer onder SCOPES e-mail en profiel en selecteer Vervolgens Opslaan en Doorgaan.
  8. Selecteer Opslaan en sluiten onder de pagina OIDC-kenmerken.
  9. Selecteer in de lijst met toepassingen de toepassing die u hebt gemaakt.
  10. Ga als volgt te werk op de pagina Toepassingsprofiel:
    1. Schakel naast de naam van de toepassing de app in met behulp van de schakelknop.
    2. Kopieer de waarden van de client-id.
  11. Selecteer het tabblad Configuratie en ga als volgt te werk:
    1. Kopieer het OIDC-detectie-eindpunt.
    2. Het clientgeheim weergeven en kopiëren.
    3. Wijzig de modus om te bewerken. Wijzig vervolgens onder de verificatiemethode voor tokeneindpunt de waarde in Client Secret Post en selecteer Opslaan

PingOne configureren als id-provider

  1. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.

  2. Kies Alle services linksboven in de Azure Portal, zoek Azure AD B2C en selecteer deze.

  3. Selecteer Id-providers en selecteer vervolgens Nieuwe OpenID Connect-provider.

  4. Voer bij Naam een naam in. Voer bijvoorbeeld PingOne in.

  5. Voer voor de URL voor metagegevens het OIDC DISCOVERY-EINDPUNT in dat u eerder hebt vastgelegd. Bijvoorbeeld:

    https://auth.pingone.eu/00000000-0000-0000-0000-000000000000/as/.well-known/openid-configuration

  6. Voer voor client-id de client-id in die u eerder hebt vastgelegd.

  7. Voor Clientgeheim voert u het clientgeheim in dat u eerder hebt genoteerd.

  8. Voer voor Bereik het volgende in openid email profile.

  9. Behoud de standaardwaarden voor Antwoordtype en Antwoordmodus.

  10. Voer pingone.com in voor Domeinhint (optioneel). Raadpleeg Direct aanmelden met behulp van Azure Active Directory B2C instellen.

  11. Selecteer onder Claimstoewijzing voor id-provider de volgende claims:

    • Gebruikers-id: sub
    • Weergavenaam: name
    • Voornaam: given_name
    • Achternaam: family_name
    • E-mail: e-mail

  12. Selecteer Opslaan.

PingOne-id-provider toevoegen aan een gebruikersstroom

Op dit moment is de PingOne-id-provider ingesteld, maar deze is nog niet beschikbaar op een van de aanmeldingspagina's. De PingOne-id-provider toevoegen aan een gebruikersstroom:

  1. Selecteer Gebruikersstromen in uw Azure AD B2C-tenant.
  2. Klik op de gebruikersstroom die u wilt toevoegen aan de PingOne-id-provider.
  3. Selecteer PingOne onder de id-providers voor sociale netwerken.
  4. Selecteer Opslaan.
  5. Selecteer Gebruikersstroom uitvoeren om uw beleid te testen.
  6. Selecteer voor Toepassing de webtoepassing met de naam testapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
  7. Klik op de knop Gebruikersstroom uitvoeren.
  8. Selecteer PingOne op de registratie- of aanmeldingspagina om u aan te melden met een PingOne-account.

Als het aanmeldingsproces is voltooid, wordt uw browser omgeleid naar https://jwt.ms, waar de inhoud van het door Azure AD B2C geretourneerde token wordt weergegeven.

Een beleidssleutel maken

U moet het clientgeheim opslaan dat u eerder hebt vastgelegd in uw Azure AD B2C-tenant.

  1. Meld u aan bij de Azure-portal.
  2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.
  3. Kies Alle services linksboven in de Azure Portal, zoek Azure AD B2C en selecteer deze.
  4. Selecteer Identity Experience Framework op de overzichtspagina.
  5. Selecteer Beleidssleutels en vervolgens Toevoegen.
  6. Voor Opties kiest u Manual.
  7. Voer een naam in voor de beleidssleutel. Bijvoorbeeld PingOneSecret. Het voorvoegsel B2C_1A_ wordt automatisch toegevoegd aan de naam van uw sleutel.
  8. Voor in Geheim het clientgeheim in dat u eerder hebt genoteerd.
  9. Selecteer voor Sleutelgebruik de optie Signature.
  10. Klik op Create.

PingOne configureren als id-provider

Als u wilt dat gebruikers zich kunnen aanmelden met een PingOne-account, moet u het account definiëren als een claimprovider waarmee Azure AD B2C kan communiceren via een eindpunt. Het eindpunt biedt een set claims die worden gebruikt door Azure AD B2C om te controleren of een specifieke gebruiker is geverifieerd.

U kunt een PingOne-account definiëren als een claimprovider door dit toe te voegen aan het element ClaimsProviders in het extensiebestand van uw beleid.

  1. Open het bestand TrustFrameworkExtensions.xml.

  2. Ga naar het element ClaimsProviders. Als dit niet voorkomt, voegt u het toe onder het hoofdelement.

  3. Voeg als volgt een nieuwe ClaimsProvider toe:

    <ClaimsProvider>
  <Domain>pingone.com</Domain>
  <DisplayName>PingOne</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="PingOne-OpenIdConnect">
      <DisplayName>Ping Identity</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="METADATA">Your PingOne OIDC discovery endpoint</Item>
        <Item Key="client_id">Your PingOne client ID</Item>
        <Item Key="response_types">code</Item>
        <Item Key="scope">openid email profile</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">0</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_PingOneSecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. Stel de METADATA metagegevens in op uw PingOne OIDC-detectie-eindpunt.

  5. Stel client_id metagegevens in op uw PingOne-client-id.

  6. Sla het bestand op.

Een gebruikerstraject toevoegen

Op dit punt is de id-provider ingesteld, maar is deze nog niet beschikbaar op een van de aanmeldingspagina's. Als u niet over een eigen aangepast gebruikerstraject beschikt, maakt u een duplicaat van een bestaand gebruikerstrajectsjabloon. In het andere geval gaat u verder met de volgende stap.

  1. Open het bestand TrustFrameworkBase.xml vanuit het starterspakket.
  2. Zoek en kopieer de volledige inhoud van het element UserJourney dat Id="SignUpOrSignIn" bevat.
  3. Open het bestand TrustFrameworkExtensions.xml en ga naar het element UserJourneys. Als het element niet voorkomt, voegt u het toe.
  4. Plak de volledige inhoud van het element UserJourney dat u hebt gekopieerd als een onderliggend element van het element UserJourneys.
  5. Wijzig de naam van de id van het gebruikerstraject. Bijvoorbeeld Id="CustomSignUpSignIn".

De id-provider toevoegen aan een gebruikerstraject

Nu u over een gebruikerstraject beschikt, voegt u de nieuwe id-provider toe aan het gebruikerstraject. U voegt eerst een aanmeldingsknop toe en koppelt de knop aan een actie. De actie is het technische profiel dat u eerder hebt gemaakt.

  1. Ga in het gebruikerstraject naar het element van de indelingsstap dat Type="CombinedSignInAndSignUp" of Type="ClaimsProviderSelection" bevat. Dit is doorgaans de eerste indelingsstap. Het element ClaimsProviderSelections bevat een lijst met id-providers waarmee een gebruiker zich kan aanmelden. De volgorde van de elementen bepaalt de volgorde van de aanmeldingsknoppen die aan de gebruiker worden gepresenteerd. Voeg een XML-element ClaimsProviderSelection toe. Stel de waarde van TargetClaimsExchangeId in op een beschrijvende naam.

  2. Voeg in de volgende indelingsstap een element ClaimsExchange toe. Stel de id in op de waarde van de Exchange-id van de doelclaims. Werk de waarde van TechnicalProfileReferenceId bij naar de id van het technische profiel dat u eerder hebt gemaakt.

In de volgende XML ziet u de eerste twee indelingsstappen van een gebruikerstraject met de id-provider:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="PingOneExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="PingOneExchange" TechnicalProfileReferenceId="PingOne-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Het Relying Party-beleid configureren

Met het Relying Party-beleid, bijvoorbeeld SignUpSignIn.xml, wordt het gebruikerstraject opgegeven dat door Azure AD B2C wordt uitgevoerd. Ga naar het element DefaultUserJourney binnen de Relying Party. Werk de ReferenceId bij zodat deze overeenkomt met de gebruikerstraject-id, waarin u de id-provider hebt toegevoegd.

In het volgende voorbeeld is voor het CustomSignUpSignIn-gebruikerstraject de ReferenceId ingesteld op CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Het aangepaste beleid uploaden

  1. Meld u aan bij de Azure-portal.
  2. Selecteer het pictogram Map + Abonnement in de werkbalk van de portal en selecteer vervolgens de map die uw Azure AD B2C-tenant bevat.
  3. Zoek en selecteer Azure AD B2C in de Azure-portal.
  4. Selecteer onder Beleid de optie Identity Experience Framework.
  5. Selecteer Aangepast beleid uploaden en upload vervolgens de twee beleidsbestanden die u hebt gewijzigd, in de volgende volgorde: het uitbreidingsbeleid, bijvoorbeeld TrustFrameworkExtensions.xml en vervolgens het Relying Party-beleid, zoals SignUpSignIn.xml.

Uw aangepaste beleid testen

  1. Selecteer uw Relying Party-beleid, bijvoorbeeld B2C_1A_signup_signin.
  2. Selecteer voor Toepassing een webtoepassing die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
  3. Selecteer de knop Nu uitvoeren.
  4. Selecteer PingOne op de registratie- of aanmeldingspagina om u aan te melden met een PingOne-account.

Als het aanmeldingsproces is voltooid, wordt uw browser omgeleid naar https://jwt.ms, waar de inhoud van het door Azure AD B2C geretourneerde token wordt weergegeven.

Volgende stappen

Meer informatie over het doorgeven van een PingOne-token aan uw toepassing.